安卓被爆NFC漏洞，或被黑客利用向手机植入恶意软件

　　谷歌上个月修复了一个安卓漏洞，这个漏洞可以让黑客通过一个鲜为人知的安卓操作系统功能，即NFC，向附近的手机植入恶意软件。

　　NFC会通过一个叫做Android Beam的内部安卓操作系统服务开展工作。这项服务允许安卓设备使用NFC无线电波将图像、文件、视频甚至应用等数据发送到另一个在附近的设备，作为WiFi或蓝牙的替代。

　　通常，通过NFC发送的应用(APK文件)存储在磁盘上，并会在屏幕上显示一个通知。通知消息会询问设备所有者是否允许NFC服务安装来自未知来源的应用。

　　但是，今年1月，一位名叫Y. Shafranovich的安全研究员发现，在Android 8(Oreo)或更高版本上，通过NFC发送的应用不会显示这个提示信息。相反，该通知将允许用户轻点一下就可以安装应用，而无需任何安全警告。

　　虽然缺少一个提示信息听起来并不重要，但这是安卓安全模型中的一个主要问题。安卓设备不允许安装来自“未知来源”的应用，因为任何从官方商店之外安装的应用都被认为是不可信和未经验证的。

　　如果用户想在官方商店之外安装应用，他们必须访问安卓操作系统的“安装来自未知来源应用”部分，并启用该功能。

　　在Android 8之前，这个“来自未知来源安装”选项是一个系统范围的设置，对所有应用都是一样的。但是，从Android 8开始，谷歌重新设计了这种机制，使其成为一种基于应用的设置。

　　在最新的Android版本中，用户可以访问安卓安全设置中的“安装未知应用”部分，并允许特定的应用安装其他应用。

　　CVE-2019-2114的错误在于，Android Beam应用也被列入了白名单，获得了与官方应用同样程度的信任。

　　谷歌表示，这并不是有意为之，因为Android Beam服务从来就不是用来安装应用的，而仅仅是用来在设备之间传输数据的。

　　2019年10月发布的安卓补丁将Android Beam服务从可信来源的安卓操作系统白名单中移除。

　　然而，仍有数百万用户面临风险。如果用户启用了NFC服务和Android Beam服务，附近的攻击者可能会在他们的手机上植入恶意软件。

　　由于没有提示来自未知来源的安装，点击通知将启动恶意应用的安装。有一种危险是，许多用户可能误解消息来自官方，并安装应用，误认为它是一个更新。

　　如何保护自己？

　　有好消息，也有坏消息。坏消息是，几乎所有新出售的设备都默认启用了NFC功能。更可怕的是，许多安卓智能手机用户甚至可能都没有意识到自己的NFC已经启用。

　　好消息是，只有当两个设备相距4厘米或更小时，才会启动NFC连接。这意味着攻击者需要让他的手机非常接近受害者的手机，这一点对于恶意软件植入者来说并不简单。

　　为了安全起见，任何用户都最好禁用NFC功能和Android Beam服务。

　　如果使用安卓手机作为访问卡，或者作为非接触式支付解决方案，可以让NFC保持启用状态，但需要禁用Android Beam服务。这会阻止NFC文件发送，但仍允许其他NFC操作。

　　所以，没有必要恐慌。如果你不需要Android Beam和NFC，就禁用它们，或者更新你的手机以接收2019年10月的安全更新，并继续像之前一样使用NFC和Beam。

特别提醒：本网内容转载自其他媒体，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。